¿Por qué aún debemos preocuparnos por WannaCry?

 Ya pasó más de un mes desde que se dio el ataque WannaCry, aquel que secuestró datos de unas 200 mil empresas y generó pérdidas estimadas en más de US$40 mil millones. Sin embargo, en  la compañía automotriz japonesa Honda quieren llorar, pues el domingo pasado sufrieron un ataque cibernético que no sólo los obligó a parar su producción en su local de Sayama (al norte de Tokio), sino que afectó sus redes en Japón, América del Norte, Europa y China.

¿No se supone que todo el mundo sabía que existía una vulnerabilidad en Windows que algunos hackers habían aprovechado para secuestrar datos? ¿No fue evidente que el troyano podía paralizar operaciones de gigantes como Telefónica o Renault? Sí. La policía india, los hospitales del Reino Unido, los cines de Corea del Sur, las universidades chinas y los trenes alemanes son solo algunas de las víctimas más famosas. Pero a pesar de toda la bulla generada, un fabricante como Honda ha visto infectada su red el domingo pasado. El riesgo persiste.   

Nuestra región no es ajena al barullo. Según el último reporte de Eset, las detecciones de ransomware (secuestro de datos) se incrementaron en 131% en lo que va del 2017. En el Perú se duplicaron este tipo de infecciones y no solo está el evento WannaCry, sino que hay otras familias virulentas circulando como Teslacrypt (52%), Locky (14%), Cerber (14%), Crysis (11%) y Spora (9%).

• El 98,5% de los riesgos bancarios en América Latina corresponden a fraudes en medios digitales (felaban) pero solo el 80% de PAÍSES tiene estrategias adecuadas para proteger la infraestructura crítica. 

De hecho no podemos olvidar que una semana antes de darse el ciberataque WannaCry hubo aquí un secuestro similar que aprovechaba la misma vulnerabilidad de Windows y afectó por lo menos a tres grandes corporaciones locales, incluyendo un importante banco que no pudo operar cajeros ni realizar cobros de cheques por varias horas, tal como confirmaron hackers locales. Desde E&Y reportaron que este incidente sucedió usando el programa llamado Double Pulsar.

En nuestro país el problema es que, según los expertos, nos falta preocuparnos -y ocuparnos - del tema. La última encuesta de EY Perú sobre ciberseguridad muestra que solo el 7% de las empresas encuestadas considera probable que su organización detecte un ataque sofisticado a tiempo. Eso es comprensible si no se toman precauciones y solo se destina el 1% del presupuesto a capacitar a los empleados en modos de prevenirlo, tal como revela Jorge Zeballos, gerente general de Eset Perú.

UN PROBLEMA HUMANO
​Gabriel Lazo, gerente general de enHacke, acepta que buena parte del problema es que se invierte muy poco en seguridad (93% gasta menos de US$1 millón según E&Y), pero advierte que el mayor riesgo está en el comportamiento humano. De nada sirve tener un software de protección si una secretaria abre un enlace porque supuestamente se ganó un pasaje en un sorteo en el que ni siquiera se inscribió. La media, explica, es que 20% de las empresas atacadas quede infectada (pierda sus datos) por culpa de errores, valga recalcar, humanos.

Matt Moynahan, CEO de Forcepoint, es enfático al respecto y aseguró que a menos que se enfoque el problema de seguridad teniendo como centro el ser humano, continuaremos gastando más de US$100.000 millones al año en la protección de la infraestructura sin solucionar el problema. La reciente fuga accidental de 200 millones de registros de datos personales de los votantes en Estados Unidos, dijo, es clara muestra de la importancia de capacitar al colaborador en el uso de la tecnología. La prevención está, aclaró, en lograr cambios culturales  junto con el desarrollo de sistemas que descifren intensiones o comportamientos cibernéticos de personas externas a la empresa. 

Las corporaciones hoy necesitan planificar sus inversiones en seguridad, no reaccionar por necesidad o miedo. Se trata de invertir en estrategias que incluyan tanto aspectos técnicos como la preparación de todo el grupo humano que conforma la organización, enfatizó Franz Erni, gerente de Fortinet Perú.

CUESTIÓN DE IMPACTO
​El tema de la seguridad informática no es algo que podamos dejar relevado en prioridad. Si un ciberataque puede dejar sin luz a toda una ciudad por una hora (Ucrania, 2016) o impedir que se realicen operaciones del corazón (Inglaterra, 2017), también pueden inmovilizar fábricas. Las empresas están cada vez más expuestas. Y una vez perdida la información, si no se tiene una copia de respaldo (back up) de los documentos o archivos, se pierde mucho más que el rescate solicitado por el delincuente, resaltó Franz Erni, gerente de Fortinet Perú. 

Erni recalcó que la empresa enfrentará el costo producido por la falta de disponibilidad de la información secuestrada. Esto implica muchas veces que la compañía no pueda operar y se tengan horas/hombre perdidas.  A esto hay que agregar el daño a la imagen corporativa si el nombre de la marca salta a la opinión pública (¿quien quiere dejar su dinero en un banco que fue hackeado?). Y las sanciones administrativas - o incluso penales - que pueden imponerles a pedido de los clientes o proveedores que vieron cómo sus datos privados fueron robados. Así se pague o no el rescate, el delincuente posee información crucial que puede vender a terceros en el mercado.

La autoridad de protección de datos del país ya ha iniciado 74 procedimientos administrativos sancionadores. Están implicadas desde grandes empresas, como Telefónica, hasta pequeñas cajas municipales. 

¿Qué se puede hacer? Juan José Calderón, gerente de Data Center, Seguridad y Outsourcing de Level 3 Perú, recalcó la importancia de implicar a toda la empresa en definir qué información debe ser resguardada atendiendo a su BIA (Análisis de Impacto para el Negocio), quien puede acceder a ella y qué mecanismos establecer para su recuperación. Existirán datos que se guardarán en una copia sin acceso a la red (los más confidenciales) otros en la nube pública para rápido acceso o en un servidor privado. Lo crucial, dijo, es tener diseñadas políticas que permitan recuperar las copias lo más rápido para poder continuar trabajando. 

El reto para las empresas en el Perú es el mismo que para el resto del mundo: prevenir. Tras identificar bien qué datos son críticos e instalar sistemas de protección adecuados, toca contratar consultores expertos y educar al personal en una cultura de prevención. Pero todo eso no basta. Se requiere liderazgo para que se cumplan las políticas recomendadas. "Muchas veces, es la falta de disciplina en la aplicación de controles ya establecidos lo que deja vulnerable a una compañía”, remarcó Elder Cama, socio de EY Perú. Y no cumplir las reglas de seguridad es casi lo mismo que no tenerlas, al menos para los delincuentes al acecho. 

Lea más de economía en...